Cybersecurity decision diagrams
Subtitle
A visual, model-based concept for making, documenting, and communicating cybersecurity decisions during and after the (re-)design of industrial cyber-physical systems
Publication date
2024-08-30
Document type
Dissertation
Author
Fluchs, Sarah
Advisor
Referee
Drath, Rainer
Granting institution
Helmut-Schmidt-Universität / Universität der Bundeswehr Hamburg
Exam date
2024-08-09
Organisational unit
Part of the university bibliography
✅
Keyword
Cybersecurity
Security by design
Cyber-physical system
Model-based engineering
Visualization
Abstract
Cyber-physical systems (CPS) that integrate computation and physical components are part of the solutions for many problems of our time like the shift towards renewable energies, an aging population, or mobility. However, they are fragile, especially if misused for purposes out of their specification – for example in a cyber-attack. Therefore, considering security during CPS design just as functional aspects, “security by design”, is gaining the attention of policymakers around the globe. In regulations like the EU Cyber Resilience Act (CRA), security by design is mandated.
This leaves CPS engineers with a new task. Not only do they have to consider cybersecurity, but they also need to communicate their cybersecurity decisions to auditors and authorities, users and operators, product owners and managers, and engineers from other domains or organizations that also contribute to CPS design. Hence the overarching question driving this work: how can CPS cybersecurity effectively and efficiently be communicated? More specifically, the first research question asks what engineers need to document during CPS design for communicating cybersecurity, and the second asks how it can be ensured that engineers are aware of cybersecurity decisions during design.
The Cybersecurity Decision Diagrams concept was developed in this dissertation to make the increasing complexity of CPS cognitively manageable while designing them. It defines how to document cybersecurity decisions, their rationales, and the relevant information for making them – regardless of the chosen decision-making path. The documentation is model-based and visual, represented by three cybersecurity diagram types that can collaboratively be worked on by different engineering domains. Cybersecurity decisions are explicitly marked in these diagrams, and decision points cluster related cybersecurity decisions and couple them to deliverables of any existing CPS engineering workflow to remind CPS engineers to consider security during design.
The concept was implemented as a software demonstrator and validated in three case studies re-iterating past engineering projects at a CPS user / operator (INEOS) and a CPS manufacturer (HIMA). The validation shows that introducing the Cybersecurity Decision Diagrams as a new common deliverable for all CPS engineering disciplines improves the identification of required cybersecurity decisions, the collaborative decision-making during design and the communication of these decisions afterwards. The concept can be applied both for defining the appropriate elements of cybersecurity documentation for a specific communication intention as well as for creating this documentation. Finally, the plurality of security decision-making paths encountered in the validation shows that there are valid reasons to settle for compromises in cybersecurity decisions – as long as there are no compromises made regarding their communication.
This leaves CPS engineers with a new task. Not only do they have to consider cybersecurity, but they also need to communicate their cybersecurity decisions to auditors and authorities, users and operators, product owners and managers, and engineers from other domains or organizations that also contribute to CPS design. Hence the overarching question driving this work: how can CPS cybersecurity effectively and efficiently be communicated? More specifically, the first research question asks what engineers need to document during CPS design for communicating cybersecurity, and the second asks how it can be ensured that engineers are aware of cybersecurity decisions during design.
The Cybersecurity Decision Diagrams concept was developed in this dissertation to make the increasing complexity of CPS cognitively manageable while designing them. It defines how to document cybersecurity decisions, their rationales, and the relevant information for making them – regardless of the chosen decision-making path. The documentation is model-based and visual, represented by three cybersecurity diagram types that can collaboratively be worked on by different engineering domains. Cybersecurity decisions are explicitly marked in these diagrams, and decision points cluster related cybersecurity decisions and couple them to deliverables of any existing CPS engineering workflow to remind CPS engineers to consider security during design.
The concept was implemented as a software demonstrator and validated in three case studies re-iterating past engineering projects at a CPS user / operator (INEOS) and a CPS manufacturer (HIMA). The validation shows that introducing the Cybersecurity Decision Diagrams as a new common deliverable for all CPS engineering disciplines improves the identification of required cybersecurity decisions, the collaborative decision-making during design and the communication of these decisions afterwards. The concept can be applied both for defining the appropriate elements of cybersecurity documentation for a specific communication intention as well as for creating this documentation. Finally, the plurality of security decision-making paths encountered in the validation shows that there are valid reasons to settle for compromises in cybersecurity decisions – as long as there are no compromises made regarding their communication.
Cyber-physische Systeme (CPS), die physische und informationstechnische Komponenten integrieren, tragen zu Lösungen vieler drängender Probleme bei, z. B. die Umstellung auf erneuerbare Energien, eine alternde Bevölkerung und Mobilität. Sie sind jedoch fragil, insbesondere wenn sie für Zwecke außerhalb ihrer Spezifikation missbraucht werden – zum Beispiel bei einem Cyberangriff. Daher hat es die Berücksichtigung von Cybersecurity während der Entwicklung von CPS, „Security by Design“, jüngst auf die Agenda politischer Entscheidungsträger auf der ganzen Welt geschafft. In der EU wird „Security by Design“ mit dem Cyber Resilience Act (CRA) verpflichtend.
Dies stellt CPS-Ingenieure vor eine neue Aufgabe. Sie müssen Cybersecurity berücksichtigen und ihre Cybersecurity-Entscheidungen kommunizieren: an Auditoren und Behörden, Benutzer und Betreiber, Product-Owner und Manager sowie Ingenieure anderer am Design beteiligten Domänen oder Unternehmen. Daher rühren die Forschungsfragen hinter dieser Dissertation: Wie kann die Cybersecurity von CPS effektiv und effizient kommuniziert werden? Was müssen Ingenieure während des CPS-Engineerings dokumentieren, um Cybersecurity kommunizieren zu können? Und wie erkennen sie zu treffende Cybersecurity-Entscheidungen überhaupt?
Das Konzept „Cybersecurity Decision Diagrams“ wurde in dieser Dissertation entwickelt, um die steigende Komplexität von CPS schon während ihres Engineerings kognitiv beherrschbar zu machen. Es definiert, wie Cybersecurity-Entscheidungen, ihre Begründungen und die relevanten Informationen für die Entscheidungsfindung dokumentiert werden können – unabhängig vom gewählten Entscheidungsweg. Die Dokumentation ist modellbasiert und visuell; dargestellt durch drei Diagrammtypen, die von verschiedenen Fachbereichen gemeinsam bearbeitet werden können. Cybersecurity-Entscheidungen werden dort explizit gekennzeichnet und Entscheidungspunkte bündeln zusammenhängende Entscheidungen und koppeln sie an einen bestehenden Engineering-Workflow. So werden Ingenieure befähigt und daran erinnert, Cybersecurity während des Engineerings zu berücksichtigen.
Das Konzept wurde als Software-Demonstrator implementiert und in drei Fallstudien mit CPS-Betreiber INEOS und CPS-Hersteller HIMA validiert. Die Validierung zeigt, dass die Einführung der Cybersecurity Decision Diagrams als neues Arbeitsdokument für alle CPS-Engineering-Disziplinen die Identifikation von Security-Entscheidungen, die kollaborative Entscheidungsfindung sowie die Kommunikation der Ergebnisse verbessert. Die Vielfalt der beobachteten Entscheidungswege und -begründungen zeigt außerdem: Kompromisse bei Cybersecurity-Entscheidungen sind praktisch notwendig, sinnvoll und vertretbar – solange sie nachvollziehbar dokumentiert und kommuniziert werden.
Dies stellt CPS-Ingenieure vor eine neue Aufgabe. Sie müssen Cybersecurity berücksichtigen und ihre Cybersecurity-Entscheidungen kommunizieren: an Auditoren und Behörden, Benutzer und Betreiber, Product-Owner und Manager sowie Ingenieure anderer am Design beteiligten Domänen oder Unternehmen. Daher rühren die Forschungsfragen hinter dieser Dissertation: Wie kann die Cybersecurity von CPS effektiv und effizient kommuniziert werden? Was müssen Ingenieure während des CPS-Engineerings dokumentieren, um Cybersecurity kommunizieren zu können? Und wie erkennen sie zu treffende Cybersecurity-Entscheidungen überhaupt?
Das Konzept „Cybersecurity Decision Diagrams“ wurde in dieser Dissertation entwickelt, um die steigende Komplexität von CPS schon während ihres Engineerings kognitiv beherrschbar zu machen. Es definiert, wie Cybersecurity-Entscheidungen, ihre Begründungen und die relevanten Informationen für die Entscheidungsfindung dokumentiert werden können – unabhängig vom gewählten Entscheidungsweg. Die Dokumentation ist modellbasiert und visuell; dargestellt durch drei Diagrammtypen, die von verschiedenen Fachbereichen gemeinsam bearbeitet werden können. Cybersecurity-Entscheidungen werden dort explizit gekennzeichnet und Entscheidungspunkte bündeln zusammenhängende Entscheidungen und koppeln sie an einen bestehenden Engineering-Workflow. So werden Ingenieure befähigt und daran erinnert, Cybersecurity während des Engineerings zu berücksichtigen.
Das Konzept wurde als Software-Demonstrator implementiert und in drei Fallstudien mit CPS-Betreiber INEOS und CPS-Hersteller HIMA validiert. Die Validierung zeigt, dass die Einführung der Cybersecurity Decision Diagrams als neues Arbeitsdokument für alle CPS-Engineering-Disziplinen die Identifikation von Security-Entscheidungen, die kollaborative Entscheidungsfindung sowie die Kommunikation der Ergebnisse verbessert. Die Vielfalt der beobachteten Entscheidungswege und -begründungen zeigt außerdem: Kompromisse bei Cybersecurity-Entscheidungen sind praktisch notwendig, sinnvoll und vertretbar – solange sie nachvollziehbar dokumentiert und kommuniziert werden.
Version
Published version
Access right on openHSU
Open access